近年、医療機関をターゲットとしたサイバー攻撃の被害が増えています。2005年に初版が出ている「医療情報システムの安全管理に関するガイドライン」(以下、ガイドライン)が2022年に6.0版に更新され、ますますサイバー攻撃に対する対策が求められています。この記事では、ガイドラインの内容について触れながら医療機関が今やるべきセキュリティ対策について解説します。
目次
ガイドラインの背景と目的
現在の医療機関の状況
医療情報のデジタル化
患者情報や電子カルテなどの医療情報を電子化することで同時かつ正確な情報を確認することができ、医療従事者や患者の負担を軽減することができます。 しかし、それらは機密性が高いため一般の情報システムよりも高い安全管理システムが求められます。
医療機関は近年、サイバー攻撃の対象として狙われている
医療機関がサイバー攻撃の対象とされる原因として、機密性の高いセンシティブな個人情報を多く抱えていることや、他業界に比べて働き方改革などの影響で電子化推進が急速に行われ、セキュリティ対策が後手に回る傾向があることなどが考えられます。また、地域医療の関係で他業者とネットワークを共有していることが多く、脆弱性を突かれやすいことも考えられます。
医療機関を狙ったランサムウェア攻撃の事例についてはこちらの記事をご覧ください。
「医療機関を狙ったランサムウェアとは?事例と対策を解説」
セキュリティの優先順位と複雑化
中小規模の医療機関では、サポート終了OSや古いVPN機器が使用されているケースがあるなど、セキュリティ対策がおろそかになりがちです。また、大規模の医療機関でも各部門や施設で異なるITシステムが導入されていることで、一貫したセキュリティポリシーの適用が難しいこともあります。このような状況が、脆弱性を突かれるリスクを高めていると考えられます。
VPNのセキュリティリスクについてはこちらの記事をご覧ください。
「VPNのセキュリティリスクとは?」
ガイドラインを策定した目的と改定の背景
目的
厚生労働省によると、策定の目的は「医療情報システムの安全管理やe-文書法への適切な対応を行うため、技術的および運用管理上の観点から所要の対策を示したもの」としています。
ガイドライン改定の背景
①オンライン資格確認(マイナンバー保険証)の義務化
2023年4月にオンライン資格確認の導入が原則義務化され、ガイドラインに記載されているネットワーク関連のセキュリティ対策について多くの医療機関が求められるようになりました。
②巧妙化するサイバー攻撃
医療情報システムに対するサイバー攻撃の多様化・巧妙化が進み、医療機関等における診療業務等に大きな影響が生じていることを踏まえ、医療機関に求められる安全管理措置を中心に内容の見直しを実施しました。
ガイドラインの主要な要件
ガイドラインの内容の要約は以下の通りです。
物理的安全管理
【施設管理】サーバールームなど医療情報システムが設置されているエリアへのアクセス制限をすること。施錠や監視カメラの設置などの物理的防護をすること。
【バックアップ管理】 データの定期的なバックアップをすることとその保管場所の適切な管理(耐災害性の確保など)を行うこと。
【記録媒体の廃棄】医療情報が保存されている記録媒体の安全な廃棄手順を確立し、メディアの紛失や盗難への対応を行うこと。
組織的安全管理
【セキュリティ方針の策定】組織としての情報セキュリティ方針、個人情報保護方針を設定し、運用すること。
【責任と権限の明確化】経営者や企画管理者、運用担当者の責任範囲を明確化すること。
【教育と訓練】職員に対して、定期的にセキュリティ教育やシミュレーション訓練を実施すること。
【インシデント対応計画】セキュリティインシデント発生時の対応手順や体制(CSIRTなど)を整備すること。
技術的安全管理
【アクセス管理】 医療情報システムへのアクセス権の管理と、利用者認証や権限設定を徹底すること。
【通信の暗号化】ネットワーク通信や保存データを暗号化 すること。
【脆弱性対応】システムやソフトウェアの脆弱性を定期的に点検と更新をすること。
【監視とログ管理】システムログの記録とレビューに基づく監視体制を確立すること。
【サイバー攻撃対策】 不正アクセスやマルウェアへの対策を講じ、外部からの攻撃を検知・遮断すること。
ガイドライン遵守のメリットと重要性
ここではガイドラインを遵守することによるメリットと遵守しない場合のリスクを解説します。
メリット
サイバー攻撃に対する防御力の強化
ガイドラインには、ネットワークに関する整理、対策としてゼロトラストネットワーク型思考を取り入れ、さらに境界防御型思考とゼロトラスト思考をうまく組み合わせて対応することについても書かれています。
ゼロトラストについてはこちらの記事をご覧ください
「ゼロトラストとは」
信頼性の向上
ガイドラインにはセキュリティの面のみならず、さまざまな法令が内容に含まれています。特に、医療法による立ち入り検査では検査項目に病院の管理状況が含まれ、安全管理における体制が確保されているかチェックされます。
安全管理対策は、事業継続性の確保やサイバー攻撃に対する防衛力の向上にとどまらず、 医療情報を高度に活用することすることで、質の高い医療の提供や個人の健康の維持増進の前提にもなると考えられます。
リスク(デメリット)
法令違反
ガイドラインは医師法や医療法、個人情報保護法、e-文書法などに準じた形で作成されているためガイドラインを遵守しないと法律に違反してしまう可能性があります。
※ガイドラインを遵守することによる厚生労働省からの認定などの制度は現在ありませんが、医療情報は改正個人情報保護法でも「要配慮個人情報」として定義されており、同法や外部保存通達などでガイドラインの順守が求められるため、軽視すると法律違反を問われる可能性があります。
情報漏えいによる社会的信頼の損失
個人情報の流出により、医療機関の評判が低下し患者数が減少する可能性があります。
攻撃にあった時の経営的損失
サイバー攻撃によって、医療情報システムが停止し、新規患者の受け入れを停止する事態に追い込まれる可能性があります。過去には、診療制限や機器の入れ替えなどにより億単位の損失が出てしまった例もあります。
ガイドラインに基づくセキュリティ強化の具体的な手順
厚生労働省のホームページにはセキュリティ強化の手順として、チェックリストが公開されています。ここでは、医療機関に対するチェックリストの内容を紹介します。
チェックリスト項目は大きく3つに分かれています。実際のチェックリストおよびチェックリストのマニュアルは厚生労働省ホームページにございますのでご確認ください。
厚生労働省「医療情報システムの安全管理に関するガイドライン」
①体制構築
⑴医療情報システム安全管理責任者を設置している
②医療情報システムの管理・運用
医療情報システム全般について、以下を実施している
⑴サーバ、端末PC、ネットワーク機器の台帳管理を行っている
⑵リモートメンテナンス(保守)を利用している機器の有無を確認する
⑶事業者から製造者/サービス事業者による医療情報セキュリティ開示所(MDS/SDS)を提出してもらう
サーバについて、以下を実施している
⑷利用者の職種・担当業務別の情報区分毎のアクセス利用制御を設定している
⑸退職者や使用していないアカウント等、不正なアカウントを削除している
⑹アクセスログを管理している
⑺セキュリティパッチ(最新ファームウェアや更新プログラム)を適用している
⑼バックグラウンドで動作している不要なソフトウェアおよびサービスを停止している
端末PCについて以下を実施している
⑷利用者の職種・担当業務別の情報区分毎のアクセス利用制御を設定している
⑸退職者や使用していないアカウント等、不正なアカウントを削除している
⑺セキュリティパッチ(最新ファームウェアや更新プログラム)を適用している
⑼バックグラウンドで動作している不要なソフトウェアおよびサービスを停止している
ネットワーク機器について、以下を実施している
⑺セキュリティパッチ(最新ファームウェアや更新プログラム)を適用している
⑻接続元制御を実施している
③インシデント発生に備えた対応
⑴インシデント発生時における組織内と外部関係機関(事業者、厚生労働省、警察等)への連絡体制図がある
⑵インシデント発生時に診療を継続するために必要な情報を検討し、データやシステムのバックアップの実施と復旧手順を確認している
⑶サイバー攻撃を想定して事業計画書(BCP)を策定している
まとめ
今回の記事では、厚生労働省より発表された医療機関が遵守すべきガイドラインについて解説しました。昨今、様々なサイバー攻撃が横行している中で、医療機関は患者情報や電子カルテなどの機密性の高い情報を多く取り扱っているめ、標的にされやすく、また攻撃を受けた時の被害が甚大になりやすいです。 手遅れになる前に現在のセキュリティ対策を見直し、日々アップデートしていくことが必要です。
かもめエンジニアリングではゼロトラスト接続サービスKeygatewayC1をはじめとした多くのソリューションを提供しております。医療機関のお客さまからも多くのお問い合わせをいただき、脱VPNによるランサムウェア対策などのセキュリティ強化をかなえつつ、便利に使えるようになったなどのうれしいお声をいただいております。些細なご相談からで構いませんので、下記フォームよりお気軽にお問い合わせください。
参考
厚生労働省「医療情報システムの安全管理に関するガイドライン」
事業・商品・サービスに関するお問い合わせ
製品に関するお問い合わせはこちら
※フリーメールでのお問い合わせは受け付けておりません。